|
(四)建立健全信息安全保障体系,为信息系统安全稳定运行保驾护航。
保障信息安全是“十一五”期间银行信息化建设的重点工作之一,要树立和培养信息科技风险意识,根据“积极防御、综合防范”的方针,从组织、技术、应急等各方面健全信息安全保障体系,具体如下:
1.进一步健全信息安全保障组织体系。
建立信息安全领导协调机构和办事机构,有效、科学地决策指挥和协调信息安全重大事宜。建立健全各级信息安全管理机构,加强信息安全队伍建设,充实信息安全管理队伍,完善激励机制,加大培训力度,实行信息安全管理岗位持证上岗制度。有效落实信息安全规划、实施和监督检查等各类工作。
2.应用信息安全先进技术,提高信息安全防护能力。
加大网络安全设施建设力度,合理划分网络安全域,加强网络边界防护,进一步加强银行内网与国际互联网及企业间互联网的安全隔离强度,有效防范银行外联需求带来的安全问题。对银行重要数据,应采用高强度加密技术,确保数据的传输和存储安全。
根据国家密码管理相关规定,合理运用密码技术和产品,推进CA安全体系建设,规范和加强以身份认证、授权管理、跟踪审计为主要内容的网络信任体系建设,保证重要信息的机密性、完整性、可用性、真实性和不可抵赖性。
充分利用主机、操作系统、数据库等软硬件产品所固有的安全功能,及时安装补工程序,提高系统安全防护能力。
3.完善银行业信息安全应急恢复体系。
加强安全监控,进一步完善信息安全应急处置机制和信息通报机制,制订应急预案并进行演练,明显提升金融信息系统预警、应急处置和恢复能力,保障金融业务的连续稳定运行。
探讨建立银行业应急救援中心的可行性,加大应急技术支持和救援力度,加快业务的恢复速度,并最大限度地实现资源共享。
4.推进信息安全风险评估,实行信息安全等级保护。
根据国家信息安全风险评估有关标准,在信息系统方案设计、建设投产和运行维护各个阶段实施必要的风险评估,并根据评估结果及时整改,实现信息系统全生命周期的安全管理。
根据信息安全等级保护制度,对系统进行合理定级,并根据有关标准,设计安全方案,采购并部署相应等级的信息安全设施,落实安全技术措施。
5.健全信息安全标准规范和有关制度。
研究制定银行业信息安全相关标准规范和制度,重点制定网络金融犯罪、灾难恢复等相关制度。研究和建立满足监管需要的关键信息化技术审计规范,建立银行信息技术、产品、服务、重要应用系统的信息安全风险评估与测评认证制度,以及信息安全服务准入制度,为行业监管和银行在信息安全建设、运行和管理等方面提供依据。
(五)加强IT治理,提高信息化管理水平。
建立起适应数据大集中技术环境和银行组织变革要求的信息组织体系,合理配置科技资源,努力构建以服务为导向、面向业务、分工合理、协作紧密、运作高效的专业信息化组织架构。
建立IT战略和计划的流程,保证IT战略与企业战略的一致性,确保IT技术投资决策符合银行自身愿景。建立统一的项目管控组织和制度流程,加强项目协调和管控,加强需求、方案设计、投产验证等关键阶段的管理,确保项目过程的有效控制。建立统一的IT策略,推进企业IT技术标准化,统一IT架构、规范IT技术采用,提高效率、降低成本。进一步完善供应商管理机制,加强对供应商的有效控制,为银行信息化发展提供安全高效的外部资源支持。
在完善IT运行管理的基础上,建立和完善服务级别管理、可用性管理等流程。尝试建立 IT财务管理管理流程和标准化的IT服务水平协议,实现服务交付,提升和展示IT服务的价值,努力实现银行IT运营管理从以技术为中心向以服务为中心的管理阶段转变,降低信息化总体成本。
(六)完善金融基础设施建设,提供跨行金融服务。
继续推进金融基础设施建设,创建公平竞争市场环境,提供安全、高效、便捷的金融服务,为监管提供基础信息。重点如下:
|
